勒索軟體組織Dark Angels 斬獲史無前例的 7,500 萬美元贖金

Dark Angels目標對象涵蓋政府、醫療、金融、教育、製造業、技術及電信業者

Dark Angels勒索Fortune 50公司    Photo Credit: Cyberwarzone

根據美國雲端運算安全公司Zscaler網路安全研究人員的報告指稱,一家Fortune 50 (《財星》全球 50 強) 公司向 Dark Angels 勒索軟體集團支付了創紀錄的 7,500 萬美元贖金。

Dark Angels 勒索軟體組織自 2022 年以來的行動一直受到廣泛的關注,他們的攻擊目標主要是鎖定在醫療保健、政府、金融和教育等高市值產業,最近也發現有轉向大型工業、科技和電信公司的情況。

Dark Angels的作案手法與一般的勒索軟體集團相比並不相同,典型的攻擊手法通常是先在廣泛區域佈局並配合第三方之攻擊行動。相對地,他們則是先經過精心過濾及篩選然後入侵個別的大規模企業,並在加密重要檔案之前竊取大量重要資料(1-100 TB)。

根據Zscaler 於2024 年7 月30 日發布的2024 ThreatLabz勒索軟體報告,Dark Angels最引人矚目的攻擊事件,是發生在2023 年9 月針對一家跨國集團的網路攻擊,他們駭入並加密該公司的虛擬機,最後索求5100 萬美元。

暗黑天使 Profile

Dark Angels 藉由操作勒索軟體來進行駭客攻擊,最早被發現於 2022 年 5 月開始進行活動,當時它已經開始將目標鎖定在全球各地的重要企業。

像大多數的勒索軟體組織一樣,他們背後是由人工進行操作的,Dark Angels的操作執行同夥會先入侵公司網路系統,然後做橫向移動,最終目的是為了獲取管理權限。於此同時,他們還從侵入的伺服器中竊取重要資料,這些資料成為他們之後提出贖金要求時重要的談判籌碼。

當網路攻擊者取得 Windows domain controller(網域控制器)的存取權時,他們會部署勒索軟體來將網域內的所有裝置設備進行加密。

在上次攻擊事件中,Dark Angels 聲稱他們共竊取了 27 TB 的企業資料,並要求該受害公司支付 5,100 萬美元的贖金。

Zscaler ThreatLabz 表示,Dark Angels 採用的是 “Big Game Hunting” (大規模狩獵遊戲) 策略,這種策略是指僅針對少數高市值公司,預期可以斬獲巨額贖金,而非一次性同時向許多公司要求支付額度較小的贖金。

Zscaler ThreatLabz 研究人員解釋到:“暗黑天使組織採用了高度針對性的做法,通常是一次只攻擊一家大型公司的模式。”

Zscaler的報告也強調並警告,各家企業要同時警惕其他惡名昭彰的勒索軟體組織,例如像是 Lockbit、BlackCat (ALPHV)、Akira 和 Black Basta。

Barrier Networks的首席技術長Ryan McConechy對報告的調查結果發表了評論,「這個數字高到令人擔憂,大多數的企業或機構不會相信網路攻擊會讓他們付出如此慘重的代價…但這就是當前許多網路攻擊事件背後殘酷的現實。」他同時強調企業需要堅實的網路防護措施做後盾,其中包括員工教育訓練、多因子身份驗證、系統更新和準備充分好事件回應計畫。

勒索軟體組織Dark Angels相關的部分的入侵指標(IOCs):

5cc2306e9e0aa8d1cb095791febf89b3
a874076693aff0f34d4248396a2dd777
b4a07cdd640bbaef21cd0493b4d62675
06187023d399f3f57ca16a3a8fb9bb1bdb721603
529e24c81ede5dfcedcc4fbc7d0030f985c67af1
7c2e9232127385989ba4d7847de2968595024e83
38e05d599877bf18855ad4d178bcd76718cfad1505328d0444363d1f592b0838
3b56cea72e8140a7044336933cf382d98dd95c732e5937a0a61e0e7296762c7b
fe8b6b7c3c86df0ee47a3cb04a68891fd5e91f3bfb13482112dd9042e8baebdf

Hunters International 近期密集入侵台灣上市製造與代工業 恐引起產業供應鏈危機

兩個月內出現第三家台灣受害公司

今年4月中旬經濟日報工商時報皆報導國內電子零組件大廠群光電子遭駭客組織Hunters International 入侵,約1.2TB、414萬個檔案被竊取並加密鎖住。相隔不到一個月,大紀元時報報導Hunters International於5月中旬駭進台塑美國取得1.2TB約230萬份資料,包含訴訟文件、PII(個人識別資訊)、訴財務數、客戶數據和技術數據等。昨天(5/23) 竣盟科技在暗網發現Hunters International已公佈駭進國際知名GPU半導體大廠 NVIDIA的某合格供應鏈國內廠商(專營電子連接器/線組) 並竊取435GB的資料,約53萬個檔案。值得一提的是,Hunters International 已把檔案設置為”View”供任何可連結到其暗網的人下載。

Hunters International 近期對台的駭動異常頻繁,從台灣知名的IPO製造、代工大廠甚至到供應商做整體產業鏈入侵,竊取資料並加密鎖住資料,企圖威脅造成產業營運損失(包含重要資訊外洩)企業競爭力受影響。

Hunters International 是一個勒索軟體組織,以其廣泛而具影響力的攻擊聞名。他們針對包括醫療保健、汽車、製造、物流、金融服務、教育和食品等多個行業,展示了他們廣泛而機會主義的方法,以最大化他們的贖金要求。該組織使用各種策略和技術,借鑒了 Hive 勒索軟體的操作手冊,同時進行修改以提高可靠性和功能性。Hunters International的勒索軟體可以在 Windows 和 Linux 環境中加密檔案,在受影響的檔案上添加“.LOCKED” 副檔名,並將「Contact Us.txt」檔案留在目錄中,指導受害者如何在暗網上發起協商。

Hunters International 有一個專用洩漏站點數據洩露網站(Dedicated Leak Site-DLS),並根據國家列出受害者,利用這個平台通過威脅暴露敏感數據來壓迫受害者支付贖金。這個網站還有助於提高他們在網絡犯罪社區中的聲譽。有趣的是,Hunters International最近將他們的 DLS 移至一個表網網域名,該網域原本在2017年至2021年是合法的網站,現已被改用於Hunters International的惡意活動,該網站使用欺騙策略來掩蓋他們的真實身份,並且有跡象表明他們與尼日利亞和可能的俄羅斯有聯繫。

Hunters International勒索軟體使用各種命令行參數來實現功能和靈活性,包括指定用戶憑證進行通信、啟動日誌記錄和設置文件加密參數。他們還有一種攻擊模式,可以禁用備份和終止進程,以防止數據恢復。總而言之,Hunters International 的活動突顯了勒索軟體威脅的持久性和不斷演變的性質,強調了需要強大的網路安全措施、定期數據備份以及與執法部門的合作以減少風險。

無論是半導體或晶圓製造甚至零組件供應商,都是台灣當前重要的產業。高科技精密產業的相關數據資料是產業的核心競爭關鍵,如何做好資訊安全防護絕對是各資訊長的當務之急。

有鑑於此,政府近年來密集要求及督導相關產業落實資安合規,就是希望透過資安合規協助企業做資安健診,讓企業了解自身資安漏洞後,進而建置完整的資安防禦。當企業與供應鏈廠商之間建構安全的資安防護網後,資安無慮產業運營更順利。

有關Hunters International的部分入侵指標(Indicator of compromise -IOCs):

94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af                  

c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e                  

hunters33mmcwww7ek7q5ndahul6nmzmrsumfs6aenicbqon6mxfiqyd.onion            

hunters55rdxciehoqzwv7vgyv6nt37tbwax2reroyzxhou7my5ejyid.onion

麒麟勒索軟體攻擊澳洲法院系統 聽證紀錄遭竊

法院稱首次檢測到攻擊是在12月21日,但根據事後的調查,入侵發生於12月8日。

1月2日,澳洲維多利亞法院服務處 (Court Services Victoria-CSV) 披露,法院案件和法庭受到網路安全事件的影響,造成法庭內視聽技術網路被中斷,影響錄音和轉譯服務,攻擊者可能已存取聽證會紀錄。這次攻擊是在 12 月 21 日聖誕節假期前夕被發現的,當時工作人員的電腦被鎖定,螢幕上顯示主題為「YOU HAVE BEEN PWND」的訊息。維多利亞州法庭服務處執行長Louise Anderson透過聲明表示,需要時間來確定哪些錄音和筆錄受到影響,Anderson稱他們在2023 年 12 月 21 日首次檢測到網路攻擊,該攻擊允許駭客中斷運作並存取其錄音和筆錄的檔案。雖然在檢測到的當下,受影響的系統立即被隔離和停用,然而根據隨後的調查顯示,該入侵發生在更早的日期,即 2023 年 12 月 8 日。聲明指出2023年11月1日到12月21日的部分法院聽證會錄音可能已失竊;11月1日之前的一些聽證會錄音已在網路攻擊中被存取,據信,一些失竊的錄音可能涉及身份受法院保護令的人。

具體來說,以下法院和司法管轄區受到了安全事件的影響:

最高法院—上訴法院、刑事庭和實務法院於 12 月 1 日至 21 日期間舉行聽證會,並於 2023 年 11 月舉行兩次地區聽證會。

縣法院-2023 年 11 月 1 日至 12 月 21 日期間所有刑事和民事法院舉行聽證會。

治安法院-2023 年 11 月 1 日至 12 月 21 日期間審理了一些案件。

兒童法庭-2023 年 10 月起舉行一場聽證會。

驗屍法庭– 2023 年 11 月 1 日至 12 月 21 日期間舉行的所有聽證會。

澳洲法院將向那些被視為受事件影響的人發出通知,並已向包括維多利亞警察局、維多利亞州政府服務部和澳洲國家身分和網路支援社區服務 (IDCARE) 等單位通報了資料外洩事件,他們正在協助調查和應對。

儘管維多利亞法院服務處仍在重組受影響的系統,但維多利亞州法院的運作不會受到影響,預計於 2024 年 1 月審理的所有案件都將正常進行。維多利亞法院沒有透露對此次攻擊負責的網路犯罪分子的名字,但接受 澳洲 ABC News採訪的消息人士稱,此次攻擊是由麒麟(Qilin)勒索軟體組織發動的。麒麟勒索軟體作業於 2022 年 8 月以「Agenda」名稱啟動,但後來更名為麒麟。2022 年 10 月,台灣某上市製藥大廠也被列為其受害者。2023 年 11 月,一般來說,麒麟透過發送包含惡意連結的網路釣魚電子郵件來瞄準受害者,以存取其網路並竊取敏感數據,一旦麒麟完成初始存取,它通常會在受害者的基礎設施中橫向傳播,試圖找到要加密的關鍵統計數據。加密資料後,麒麟留下勒索字條“您的網路/系統已加密,加密的檔案具有新的檔案副檔名”,並要求勒索贖金以支付解密金鑰。

有關麒麟的部分入侵指標(Indicator of compromise -IOCs):

555964b2fed3cced4c75a383dd4b3cf02776dae224f4848dcc03510b1de4dbf4

417ad60624345ef85e648038e18902ab

76f860a0e238231c2ac262901ce447e83d840e16fca52018293c6cf611a6807e

fd7cbadcfca84b38380cf57898d0de2adcdfb9c3d64d17f886e8c5903e416039

又傳台灣上市企業遭LockBit攻擊 自動化設備大廠疑遭殃

某台灣著名的智慧自動化設備大廠,據稱已成為臭名昭著的 LockBit 勒索軟體組織的受害者。12 月 4 日,操作LockBit勒索軟體的背後駭客在其揭秘網站上,發布了對有關自動化設備大廠網路攻擊的訊息,目前駭客並沒有公開截圖、所盜的數據量及任何攻擊的細節,然而卻發出最後通牒,威脅要在 2023 年 12 月 8 日曝光該大廠的敏感資料。據觀察該網站似乎可以正常運行,沒有明顯的網路攻擊跡象,攻擊是否針對的是該公司的資料庫,暫仍不得而知。

LockBit 勒索軟體組織是誰?

LockBit 勒索軟體組織是一個以勒索軟體即服務 (RaaS) 模式運作的網路犯罪組織,因其雙重勒索策略而臭名昭著。這涉及對受害者數據進行加密並威脅要外洩露數據,除非駭客的贖金要求得到滿足。

根據多個政府機構的聯合聲明,LockBit 勒索軟體組織被評為2022 年全球最多產的勒索軟體,佔44 %全球勒索軟體事件。光是在美國,2020 年 1 月至 2023 年 5 月期間,LockBit 勒索軟體組織就參與了約 1,700 起勒索軟體攻擊,累積了高達 9,100 萬美元的贖金。值得注意的是,該組織仍然出於經濟動機,沒有正式歸屬於任何特定的國家,但一般認為LockBit與俄羅斯有關聯。

LockBit 勒索軟體組織因其研發的「StealBit」(一種自動提取資料的惡意軟體工具)而引起關注。該工具與更版的LockBit 2.0 一起發布,具有快速且高效的加密功能。LockBit稱其該工具是世上最迅速盜竊數據的神器。此外,LockBit透過推出 Linux-ESXI Locker 1.0 版擴大了其影響範圍,目標是Linux主機,特別是 ESXi 伺服器。2022 年 6 月,LockBit打著讓勒索軟體再次偉大( Make Ransomware Great again)的口號,推出3.0新版

2023 年 11 月,美國CISA、FBI 警告企業LockBit針對名為Citrix Bleed漏洞(CVE-2023-4966,CVSS風險評分為9.4)的零時差漏洞),作出廣泛利用。LockBit 的廣泛影響力遍及全球各個行業,包括醫療保健和教育部門成為主要目標。根據趨勢科技的數據,美國、印度和巴西位居最常遭受 LockBit 惡意活動的國家名單之首。

台灣高科技產業無疑也是駭客的攻擊目標:

2023年11月北韓駭客Diamond Sleet針對台灣訊連科技用戶發動供應鏈攻擊

2023年11月Hunters International勒索軟體入侵台灣上市生醫

2023年8月勒索軟體NoEscape攻擊台灣上市電子公司,盜走50GB的數據

2023年4月微星(MSI)遭Money Message 勒索軟體入侵,被勒索約1億2千萬新台幣

2023年3月Acer約160Gb資料遭駭客兜售

2022年12月傳出LockBit入侵台灣汽機車機電系統整合大廠及觸控面板大廠

2021 年 3 月Acer被REvil勒索軟體攻擊並被勒索5000萬美元的贖金

2021 年 10 月 18 日, Desorden Group駭入宏碁台灣的系統,盜走並釋出Acer員工的敏感資料

2020年 10 月研華科技遭Conti勒索軟體入侵,約1300萬美元

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 www.billows.tech , 以免觸法”

五大家族甫成立,觸角已然伸入台灣高科技產業!

駭客界的紐約黑手黨翻版,五大家族於上月下旬宣布結盟,旨在共享駭客團體間的資訊,宣稱是為了網路地下世界中的每一個人建立更好的聯繫與團結,一時間造成資安界人心惶惶。正當眾人還在猜測,究竟是西方世界的哪一個企業會成為這個網路黑手黨的目標時,不曾想到台灣的高科技企業竟然已經成為第二名受害者。。

就在今天9月8日,五大家族的聯繫網路裡已經流傳著一份台灣某上市主機板大廠的客戶與員工的敏感資訊,該公司主要生產並供應電腦主機板、顯示卡、固態硬碟等等硬體設備。該份資料是由五大家族之一的GhsotSec提供,該組織在烏克蘭戰爭期間也積極針對俄羅斯軍隊進行網路滲透攻擊。

此駭客聯盟透過Telegram分享了兩個連結,其中就包括從此次攻擊中竊取的數據檔案下載網址,同時也批評了該公司薄弱、甚至是毫無保護的安全基礎設施。更多關於五大家族的訊息,請參閱竣盟科技先前的報導,可以獲得更多詳細資訊。

台灣高科技產業絕對是駭客的攻擊目標:

2023年4月微星(MSI)遭Money Message 勒索軟體入侵,被勒索約1億2千萬新台幣

2023年3月Acer約160Gb資料遭駭客兜售

2021 年 3 月Acer被REvil勒索軟體攻擊並被勒索5000萬美元的贖金

2021 年 10 月 18 日, Desorden Group駭入宏碁台灣的系統,盜走並釋出Acer員工的敏感資料

2020年 10 月研華科技遭Conti勒索軟體入侵,約1300萬美元

竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階欺敵系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

Mallox勒索軟體集團活動激增

研究顯示與 2022 年相比,2023 年Mallox勒索軟體活動增加了 174%

Photo Credit: Palo Alto/Unit 42

Mallox是一個擅長通過易受攻擊的SQL伺服器闖入目標網路的勒索軟體,在過去幾個月中其活動突然變得非常活躍。根據Palo Alto Networks 旗下Unit 42 團隊的最新調查結果顯示,2023 年 Mallox 勒索軟體活動較前一年增加了 174%,並且有跡象成為比現在更大的威脅。Mallox勒索軟體於 2021 年 6 月首次浮出水面,並聲稱自那時以來已感染了全球數百個組織, Mallox的受害者包括製造、零售、批發、法律和專業服務部門的組織。由於大規模利用 MS-SQL伺服器,Mallox 勒索軟體的分佈有所增加,與 2022 年相比增長了 150% 以上。在這些活動中,Mallox 勒索軟體組織應用了暴力破解、數據外洩和其他攻擊技術。攻擊者傾向於通過在暗網上尋找會員(Affiliate),引誘他們加入勒索軟體即服務(Ransomware-as-a-service,RaaS)計劃來擴大其攻擊活動。據Palo Alto Networks的Unit 42稱,從今年早些時候開始,與該組織相關的威脅活動激增,特別是在5月份。

Photo Credit: Palo Alto / Unit 42

據了解,操作Mallox 的駭客還同時使用其他勒索軟體,例如 TargetCompany、Tohnichi、Fargo 以及最近的 Xollam,在上個月Xollam已被TrendMicro觀察到使用惡意 OneNote 檔案附件進行初始存取。然而,個值得注意的地方是Mallox勒索軟體的其通過字典攻擊作為滲透向量來利用安全性較差的 MS-SQL 伺服器來危害受害者網路的模式,在受感染的主機上成功立足後,將執行PowerShell命令以從遠端伺服器檢索勒索軟體有效負載。除了致力於刪除 SQL 相關服務、卷影副本和清除系統事件日誌之外,Mallox勒索軟體還在檔案加密之前終止與安全相關的進程以及繞過Raccine(一種旨在對抗勒索軟體攻擊的開源工具),然後在每個目錄中投放勒索訊息。

值得一提的是TargetCompany勒索軟體仍然是一個小型、封閉的組織,但據觀察,它也在 RAMP 網路犯罪論壇上為 Mallox 勒索軟體即服務 (RaaS) 附屬計劃招募附屬會員。

Mallox勒索軟體的勒索訊息

據Chainaanalysis,勒索軟體對駭客而言仍然是一種利潤豐厚的財務計劃,僅在 2023 年上半年,網路犯罪分子就獲得了至少4.491 億美元的淨收益,Mallox的攻擊活動突然激增也是一個更廣泛趨勢的徵兆,截至 2023 年 6 月,勒索軟體攻擊同比增長 221%,僅 2023 年 6 月就報告了 434 起攻擊,這主要是由Cl0p利用MOVEit 檔案傳輸軟體漏洞造成的。

研究人員表示,Mallox 勒索軟體組織在過去幾個月中更加活躍,如果招募活動成功,最近的招募可使他們能夠攻擊更多組織。為了防禦此類威脅,建議組織確保面向互聯網的應用程序的正確配置,使所有系統保持修補和最新狀態,並實施端點安全控制以檢測可疑活動。積極採取網路安全措施仍然是抵禦 Mallox 等勒索軟體威脅的最佳防禦措施。

Mallox的部分入侵指標(Indicator of compromise -IOCs):

0427a9f68d2385f7d5ba9e9c8e5c7f1b6e829868ef0a8bc89b2f6dae2f2020c4

0463277782f9e98b0e7a028cea0f689a81cf080fa0d64d4de8ef4803bb1bf03a

05194b34f8ff89facdd7b56d05826b08edaec9c6e444bdc32913e02cab01afd4

060ed94db064924a90065a5f4efb50f938c52619ca003f096482353e444bd096

美國CISA和FBI對針對醫療機構的勒索軟體Zeppelin發出警報,並發布有關緩解指南

美國網路安全和基礎設施安全局 (CISA) 和聯邦調查局 (FBI) 發布了關於 Zeppelin 勒索軟體即服務 (RaaS) 操作的聯合安全警報,根據統計自2019年到 2022 年 6 月間,該操作除了廣泛針對醫療保健和醫療領域的組織之外,也發現攻擊包括國防承包商、教育機構、製造商、技術公司等組織。

Zeppelin勒索軟體是基於 Delphi 的 Vega 惡意軟體的變種,已觀察到攻擊者使用各種向量來獲得對受害者網路的初始存取權限,尤其是利用遠端桌面協議 (RDP)、SonicWall 設備中的漏洞、面向 Internet 的應用程式中的漏洞以及網路釣魚電子郵件,基於網路釣魚的攻擊結合使用惡意鏈接和包含惡意宏的附件。

在部署勒索軟體有效酬載之前,攻擊者通常會在受害者的網路中花費大約 1-2 週的時間。在此期間,他們枚舉受害者的網路,識別感興趣的資料,包括備份和雲端存儲服務,並洩露敏感數據,然後發出贖金要求,通常以比特幣形式發出,要求從幾千美元到超過一百萬美元不等。

FBI 觀察到多次攻擊,Zeppelin在受害者的網路中多次執行惡意軟體的情況,這意味著受害者擁有多個 ID 和副檔名,導致需要多個不同的解密工具來恢復他們的檔案,這增加了從攻擊中恢復的複雜性。

CISA 和 FBI 共享了入侵指標 (IoC) 和 Yara rules,以幫助網路防禦者識別正在進行的攻擊並在檔案加密之前阻止攻擊,還共享了緩解措施以降低妥協的風險,其中包括:

*根據美國國家標準與技術研究院(NIST)發佈的最新標準為所有帳戶制定和管理密碼策略

*為所有數據制定可靠的備份計劃 – 創建數據和伺服器的多個備份,將這些備份存儲在單獨的、分段的和安全的位置,加密備份並測試備份以確保可以進行檔恢復

為所有服務(尤其是用於訪問關鍵系統的 Web 郵件、VPN 和帳戶)實施多因素身份驗證。

*確保所有軟體和韌體保持最新

*在所有主機上安裝防病毒軟體並定期更新軟體

*對所有具有管理員許可權的用戶帳戶進行定期審核

*應用最小特權原則

*為管理員級別及更高級別的帳戶實施基於時間的控制

*禁用所有未使用的埠

*禁用收到的電子郵件中的超連結,併為來自外部來源的所有電子郵件添加橫幅

*禁用命令行和腳本活動和許可權,以防止橫向移動。

FBI鼓勵受害者與其分享資訊,敦促如在企業網路中檢測到 Zeppelin 勒索軟體活動的 IT 管理員,應與其共享任何相關攻擊的資訊。有助於識別該勒索軟體背後攻擊者的有價值數據包括“顯示與外國 IP 地址之間的通信的邊界日誌、勒索信樣本、與Zeppelin參與者的通訊、比特幣錢包資訊、解密檔案和/或一個良性樣本的加密檔案。”

最後,FBI 補充說,它不鼓勵向 Zeppelin 支付贖金,並建議受害者不要這樣做,因為他們無法保證支付贖金會防止數據洩露或未來的攻擊。

有關Zeppelin的”部分”入侵指標(Indicator of compromise -IOCs):

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

供應鏈攻擊又添一樁,證實汽車軟管製造廠商Nichirin遭勒索軟體攻擊,自動生產控制停罷

總部位於日本的汽車軟管製造商 Nichirin(株式會社日輪)週三(6/22)表示,其美國子公司Nichirin -Flex USA 在2022年6月14日遭勒索軟體攻擊,該公司在檢測到其網路上的未經授權存取並將操作切換到手動模式後立即做出反應,中斷了其電腦化生產控制,必須手動完成訂單,影響了產品分配及出貨。

勒索軟體攻擊說明了供應鏈安全在所有行業和部門中的重要性日益增加,在沒有日輪汽車零部件的情況下,可引起其他在供應鏈的企業無法完成訂單並滿足消費者的需求。

根據歐盟網路安全局 (European Union Agency for Cybersecurity-ENISA) 的數據,66%的供應鏈攻擊集中在供應商的程式碼上,其次是智慧財產權、個人識別資訊 (PPI)、內部流程圖和緊迫的生產時間線等,尤其吸引那些有經濟動機的駭客。

Nichirin在新聞稿中表示,承諾調查此次攻擊對合作夥伴和客戶的影響,並承諾及時披露任何必要的資訊。Nichirin 也在其官網上請求客戶提高警覺,留意聲稱與Nichirin有關的電子郵件,呼籲電郵收件人不要打開附件。

勒索軟體對汽車行業來說是一個日益嚴峻的挑戰,2021 年 2 月,起亞汽車(Kia)美國公司遭DoppelPaymer加密,關鍵性IT被破壞,網路廣泛性斷線,影響其UVO link的行動應用程式,支付系統,電話服務及口網站等的運作; 2021 年 12 月Volvo富豪汽車疑遭Snatch勒索軟體加密; 2022 年 3 月 日本汽車零件大廠電裝公司(Denso) 遭潘朵拉勒索軟體攻擊;同月為美國生產汽車剎車管和燃油管的三桜工業遭Conti勒索軟體毒手,現代派沃特(Hyundai Powertech) 也遭Cuba勒索軟體入侵等,可見勒索軟體對瞄準汽車生產中必不可少的零部件供應商表現出越來越大的興趣。

最好的進攻是良好的防守,在管理供應鏈也是如此。在製定管理供應鏈中斷的策略時,建議考慮以下幾點:

*制定供應鏈應急計劃

*建立庫存

*進行供應鏈漏洞稽核

*確定備用供應商

*多元化供應基地

*與物流專家合作

*採用風險評估工具

竣盟科技已經檢查了幾個主要勒索軟體組織的揭秘網站,但目前沒有一個組織聲稱攻擊了Nichirin。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

竣盟科技資安快訊:LockTaiwan 勒索軟體獨家追蹤

竣盟科技資安快訊: 根據日前國外知名的資安網站 Malware Hunter Team 惡意軟體獵人團隊發佈的推文,以及其專家的分析,可看出雖然攻擊臺灣企業的惡意軟體是在 5月 4日開始攻擊,但其實他們已經在 5月 3日編譯完成,而在撰寫本文時,僅知在台灣的企業受到影響。

以下為臺灣企業最近收到的勒索信,名稱為: How to Unlock Files.txt

圖一

圖二

圖三

部份資訊已被外媒 Cyberscoop 報導,他們相信有最少 2個惡意程式樣本,另根據分析文章的作者 Amigo-A 表示,已經從事件檢測與回應中,命名此惡意軟體為 LockTaiwan,由於此乃新型勒索惡意軟體,國內尚未有參考資料。

類似 LockTaiwan 這種惡意軟體常與免費的第三方程式捆綁在一起傳播,這些程式一般透過不可靠的網站下載。另外當您打開或點擊帶有惡意程式郵件內容時,病毒也可能會感染到您的電腦上。所以在打開附件或點擊可疑連結之前,使用額外安裝的病毒掃瞄程式檢查是非常重要的。已感染的特洛伊木馬和惡意軟體下載程式,也可能會在您的PC上感染此病毒。瀏覽色情或 P2P種子網站,以及下載破解軟體或遊戲等等,都可能會將這類病毒帶入您的系統。

應對措施

  • 由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。
  • 向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。
  • 千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。
  • 針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。
  • 除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。
  • 佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。
  • 對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。
  • 透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

以上為竣盟科技您整理出來的資料

資料來源請參考 MalwareHunterTeam on Twitter:

以及完整的分析文件

https://id-ransomware.blogspot.com/2020/05/locktaiwan-ransomware.html

#需要👽SIEM👽記得找竣盟科技唷

#誘捕專家Acalvio的 ShadowPlex平台竣盟科技也有代理喔

#資安情資請看OTX

#快去follow竣盟科技的粉絲專頁吧^^

*****本文歡迎轉載,但請註明出處。